Häufige Probleme mit GCDS beheben

In diesem Artikel wird erläutert, wie Sie Probleme bei der Konfiguration von Google Cloud Directory Sync (GCDS) beheben können. Weitere Informationen finden Sie unter Bekannte Probleme mit der G Suite.

Einrichtung und Konfiguration   |  Fehler  |  Nutzer und Gruppen  |  Kontakte und Kalender  |  Regeln

Alle öffnen   |   Alle schließen

Einrichtung und Konfiguration

Konfigurationsfehler mit dem Konfigurationsmanager beheben

Wenn Probleme bei der Synchronisierung auftreten, prüfen Sie die Konfigurationsangaben im Konfigurationsmanager, um festzustellen, welche Tests nicht wie vorgesehen funktionieren:

  1. Öffnen Sie im Konfigurationsmanager die XML-Datei, die Sie zum Konfigurieren der Synchronisierung verwenden.
  2. Klicken Sie auf der Seite LDAP Connections (LDAP-Verbindungen) auf Test Connections (Verbindungen prüfen), um sicherzustellen, dass eine Verbindung zu Ihrem LDAP-Server hergestellt werden kann.
  3. Klicken Sie anschließend auf der Seite Notifications (Benachrichtigungen) auf Test Notification (Testbenachrichtigung), um zu prüfen, ob eine Testnachricht erfolgreich versendet werden kann.
  4. Klicken Sie auf der Seite Sync (Synchronisierung) auf Simulate Sync (Synchronisierung simulieren), um sicherzustellen, dass alle erforderlichen Felder ausgefüllt sind und die Synchronisierung funktioniert.
Konfigurationsfehler mit Protokolldateien beheben

Sie haben die Möglichkeit, Konfigurationsfehler mithilfe von Protokolldateien zu ermitteln und zu beheben. Dafür müssen Sie lediglich die erzeugten Protokolldateien an das Log-Analysetool übermitteln.

Die meisten Probleme können innerhalb weniger Minuten nach Übermittlung der Daten ermittelt werden.

Wie werden Zertifikatssperrlisten von GCDS überprüft?

Für den Verbindungsaufbau mit Google APIs über HTTPS und LDAP über SSL ist eine Bestätigung der SSL-Zertifikate erforderlich. Zu diesem Zweck stellt GCDS eine HTTP-Verbindung zu Anbietern von Zertifikatssperrlisten (CRL) her. Gelegentlich gibt es Probleme bei der Bestätigung, die zumeist deshalb auftreten, weil die HTTP-Anfrage durch einen Proxyserver oder eine Firewall blockiert wird.

Stellen Sie sicher, dass der GCDS-Server über HTTP (Port 80) auf folgende URLs zugreifen kann:

  • http://crl.geotrust.com/crls/gtglobal.crl
  • http://g.symcb.com/crls/gtglobal.crl
  • http://pki.google.com/GIAG2.crl

Wenn Sie Ihre eigenen Zertifikate für LDAP über SSL verwenden, sind möglicherweise noch weitere URLs erforderlich.

Wenn Sie den Zugriff auf Zertifikatssperrlisten nicht aktivieren können, haben Sie stattdessen die Möglichkeit, die Überprüfung solcher Listen zu deaktivieren. Dieser Schritt wird allerdings nicht empfohlen, da dies die SSL-Sicherheit beeinträchtigt. Fügen Sie die folgenden Zeilen in den Dateien sync-cmd.vmoptions und config-manager.vmoptions im Installationsverzeichnis von GCDS ein, um die Überprüfung zu deaktivieren:

  • -Dcom.sun.net.ssl.checkRevocation=false
  • -Dcom.sun.security.enableCRLDP=false
Benötige ich einen Benachrichtigungsserver, um eine simulierte Synchronisierung durchzuführen?

Um eine simulierte Synchronisierung durchzuführen, benötigen Sie einen Server, der E-Mails senden kann. Wenn GCDS auf einem Mailserver-Rechner ausgeführt wird, können Sie die IP-Adresse 127.0.0.1 für den Mailserver verwenden. Wenden Sie sich andernfalls an Ihren E-Mail-Administrator, um die richtigen E-Mail-Daten zu erhalten.

Wie aktiviere ich die vollständige HTTP-Protokollierung für API-Anfragen?

In seltenen Fällen wird Sie das Google Cloud-Supportteam möglicherweise darum bitten, zusätzlich zur Trace-Protokollierung in GCDS auch die vollständige HTTP-Protokollierung zu aktivieren. Damit können die genaue API-Anfrage von GCDS sowie die Rückmeldung von den Google APIs abgerufen werden.

Wichtig: Vollständige HTTP-Protokolle können streng vertrauliche Informationen enthalten. Entfernen Sie diese Daten (z. B. aktuelle Felder "refresh_token" oder "access_token"), bevor Sie die Protokolle an den Support senden. 

So aktivieren Sie die vollständige HTTP-Protokollierung:

  1. Achten Sie darauf, dass GCDS weder mit sync-cmd noch mit dem Konfigurationsmanager ausgeführt wird.
  2. Rufen Sie den GCDS-Installationsordner auf.
  3. Bearbeiten Sie die Datei jre/lib/logging.properties.
  4. Fügen Sie am Dateiende folgende Zeilen hinzu:

    java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
    java.util.logging.FileHandler.limit = 5000000
    java.util.logging.FileHandler.count = 100
    java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
    handlers = java.util.logging.FileHandler
    com.google.api.client.http.level = CONFIG

    com.google.gdata.client.http.HttpGDataRequest.level = ALL
    sun.net.www.protocol.http.HttpURLConnection.level = ALL

  5. Speichern Sie die Datei.
  6. Führen Sie eine weitere GCDS-Synchronisierung durch, bei der Trace für die Protokollierung festgelegt ist.

    Die Protokolldateien mit dem Namen gcdshttp*.log werden im Basisverzeichnis "homedir" (Linux®) bzw. im Profilordner (Microsoft® Windows®) erstellt. Diese Dateien können recht umfangreich sein und sollten daher in einem ZIP-Ordner zusammengefasst werden.

  7. Löschen Sie die in Schritt 4 hinzugefügten Zeilen, um eine weitere Erstellung großer Protokolldateien zu verhindern.

Stellen Sie dann die folgenden Dateien dem Supportteam zur Verfügung:

  • Die verwendete XML-Datei
  • Die Trace-Protokolle der letzten Synchronisierung
  • Die bei der Synchronisierung erstellten gcdshttp*.log-Dateien

Anhand dieser Protokolldateien kann das Supportteam die Informationen, die von der Directory API an GCDS gesendet wurden, sowie die Rückmeldung von GCDS prüfen.

Hinweis: Wenn Sie für GCDS einen Debuggingproxy verwenden möchten, z. B. Fiddler™, müssen Sie sowohl das Fiddler-Zertifikat exportieren und es in GCDS einfügen als auch die Überprüfung von Zertifikatssperrlisten deaktivieren. Anschließend können Sie Fiddler in GCDS als Proxyserver einrichten (normalerweise 127.0.0.1 an Port 8888). Weitere Informationen zum Importieren des Fiddler-Root-Zertifikats in den Java®-Truststore von GCDS finden Sie im Abschnitt Fehler im Zusammenhang mit einem Zertifikat.

Wie öffne ich eine XML-Datei, die auf einem anderen Computer oder unter einem anderen Nutzer gespeichert ist?

Weitere Informationen dazu finden Sie im Hilfeartikel "Konfigurationsdateien verwenden" unter XML-Datei auf verschiedenen Computern oder mit unterschiedlichen Nutzern verwenden.

Fehler

Fehler im Zusammenhang mit einem Zertifikat

Weitere Informationen finden Sie unter Fehler im Zusammenhang mit Zertifikaten beheben.

Wie gehe ich vor, wenn GCDS bei der Synchronisierung die Fehler- oder Konfliktmeldung "EntityDoesNotExist/EntityExists" zurückgibt?

Aktivieren Sie in der XML-Konfigurationsdatei die Option useDynamicMaxCacheLifetime. Diese GCDS-Konfiguration sorgt dafür, dass Daten maximal acht Tage lang im Cache aufbewahrt werden und dass der Cache bei kleinen bis mittleren Datensätzen häufiger geleert wird. So verringert sich die Wahrscheinlichkeit, dass Daten im Cache veraltet sind oder mit neuen Daten in Konflikt stehen. Die Option useDynamicMaxCacheLifetime ist in Konfigurationen, die mit GCDS 3.2.1 oder höher erstellt wurden, automatisch aktiviert.

Hinweis: Diese Fehler treten normalerweise auf, wenn Änderungen direkt in Ihrer Google-Domain vorgenommen werden. Während der Synchronisierung von Daten mit GCDS sollten Sie Änderungen direkt in Ihrer Google-Domain vermeiden. Verwenden Sie stattdessen Ihr LDAP-Verzeichnis, um Änderungen an Nutzern, Gruppen und anderen Entitäten vorzunehmen. Anschließend können Sie diese Änderungen mithilfe von GCDS mit Ihrer Google-Domain synchronisieren.

Wie gehe ich bei speicherbezogenen Fehlern vor?

Wenn speicherbezogene Fehler auftreten, müssen Sie die Heap-Größe für die Java Virtual Machine erhöhen, um das Problem zu beheben. Dazu bearbeiten Sie die Dateien sync-cmd.vmoptions und config-manager.vmoptions im Installationsverzeichnis von GCDS. Die entsprechenden Einträge sehen so aus:

  • -Xmx1000m (die maximale Größe des Heap-Speichers)
  • -Xms64m (die Mindestgröße des Heap-Speichers)

Damit die Änderungen sowohl auf sync-cmd als auch auf den Konfigurationsmanager angewendet werden, bearbeiten Sie beide Dateien: sync-cmd.vmoptions und config-manager.vmoptions.

Ändern Sie den Wert für -Xmx, um den Speicherplatz zu erhöhen. Das "m" nach der Zahl weist darauf hin, dass der Speicherplatz in Megabyte (MB) angegeben wird. Die richtige Speichermenge ist von der verfügbaren Speicherkapazität des GCDS-Servers sowie vom erforderlichen Speicher für die Synchronisierung durch GCDS abhängig. Deshalb müssen Sie den Wert möglicherweise mehrfach anpassen, bis die richtige Speichergröße eingestellt ist. Weitere Informationen zum erforderlichen freien Arbeitsspeicher finden Sie im Hilfeartikel zu den Systemanforderungen für GCDS.

Weshalb gibt GCDS weiterhin Fehlermeldungen zurück, wenn der Cache deaktiviert ist?

Möglicherweise liegt ein Konfigurationsproblem vor, z. B. aufgrund einer fehlerhaft konfigurierten Ausschlussregel. Solch eine fehlerhafte Konfiguration kann mit GCDS-Caching ignoriert werden. 

Bei GCDS werden die Daten Ihres Google-Diensts (z. B. der G Suite oder von Cloud Identity) höchstens 8 Tage lang im Cache gespeichert. Je nach Größe der im Cache gespeicherten Daten ist auch eine häufigere Leerung möglich. Wenn der Cache jedoch nicht geleert wird, werden Aktualisierungen für einen Zeitraum von bis zu 8 Tagen möglicherweise nicht angezeigt. 

So leeren Sie den Cache manuell:

  • Starten Sie im Konfigurationsmanager eine Synchronisierung und wählen Sie aus, dass der Cache dabei geleert werden soll.
  • Verwenden Sie das Befehlszeilen-Flag "-f", um das Leeren des Caches zu erzwingen.
  • Ändern Sie die XML-Konfigurationsdatei, um den Wert "maxCacheLifetime" auf 0 zu setzen.

Wichtig: Das erzwungene Leeren des Caches kann die Synchronisierungsdauer deutlich verlängern.

Ein Beispiel: Sie synchronisieren Ihre LDAP-Daten und erstellen eine neue Gruppe für Ihren Google-Dienst (etwa die G Suite oder Cloud Identity). Anschließend erstellen Sie eine Ausschlussregel, damit diese Gruppe von allen weiteren Synchronisierungen ausgeschlossen wird. Diese Ausschlussregel ist fehlerhaft konfiguriert und wird nicht erfolgreich angewendet. Bei weiteren Synchronisierungen wird jedoch auf Daten im Cache zugegriffen und die Gruppe bleibt im Google-Dienst. Wenn Sie dann noch eine Synchronisierung bei leerem Cache ausführen, bewirkt die fehlerhafte Konfiguration, dass die Gruppe aus dem Google-Dienst entfernt wird.

Nutzer und Gruppen

Weshalb werden einige Nutzer nicht als Gruppenmitglieder synchronisiert?

Damit Gruppenmitglieder unabhängig von den Ergebnissen aller Nutzersuchregeln synchronisiert werden, ist die Option INDEPENDENT_GROUP_SYNC in GCDS standardmäßig aktiviert. Wenn Sie Mitgliederreferenzattribute für die Synchronisierung von Gruppen verwenden, wird GCDS ohne Berücksichtigung etwaiger Nutzersuchregeln versuchen, die E-Mail-Adressen aller Nutzer im LDAP-Verzeichnis aufzulösen.

Wenn Sie die Option INDEPENDENT_GROUP_SYNC deaktivieren, verwendet GCDS nur die Ergebnisse der Nutzersuchregeln zur Auflösung von Gruppenmitgliedern. Nutzer, die von der Nutzersynchronisierung ausgeschlossen sind, werden also nicht als Gruppenmitglieder synchronisiert. Das ist vor allem dann wichtig, wenn gemeinsame Kontakte synchronisiert werden. Gruppenmitglieder, die gleichzeitig Kontakte sind, werden nicht als Gruppenmitglieder synchronisiert.

Daher empfehlen wir ausdrücklich, INDEPENDENT_GROUP_SYNC aktiviert zu lassen. Die Option zur Deaktivierung wird nur zugunsten der Abwärtskompatibilität und zur Fehlerbehebung bereitgestellt.

Weshalb werden manche Nutzer oder Gruppen bei jeder Synchronisierung neu erstellt?

Dies geschieht, wenn das als Gruppenname konfigurierte LDAP-Attribut keine vollständige E-Mail-Adresse umfasst. Prüfen Sie in diesem Fall Ihre Gruppensuchregeln und vergewissern Sie sich, dass GCDS vollständige E-Mail-Adressen für die Gruppennamen verwendet. Gehen Sie nach einer der folgenden Methoden vor:

  • Legen Sie das Gruppennamenattribut auf ein anderes LDAP-Attribut fest, das für jede Gruppe eine vollständige E-Mail-Adresse angibt, z. B. "mail".
  • Aktivieren Sie in den Einstellungen der Google-Domain die Option Domainnamen in LDAP-E-Mail-Adressen ersetzen, damit Ihr Gruppennamenattribut den Google-Gruppennamen entspricht.
  • Fügen Sie den Domainnamen dem Gruppennamen hinzu, indem Sie in Ihrer Gruppensuchregel ein Gruppennamensuffix festlegen.
Gruppen auf dem Active Directory-Server mit mehr als 1.500 Mitgliedern werden nicht richtig synchronisiert

Vergewissern Sie sich, dass Sie MS Active Directory als Servertyp im Abschnitt für die LDAP-Konfiguration ausgewählt haben.

Wie verwende ich die Option "Replace domain names in LDAP email addresses" (Domainnamen in LDAP-E-Mail-Adressen ersetzen)?

GCDS verwendet diese Option, die in der XML-Datei als SUPPRESS_DOMAIN angezeigt wird, wenn sich die E-Mail-Adressen im LDAP-Verzeichnis nicht in Ihrer Google-Domain befinden, sondern in einer anderen Domain. Bei Aktivierung dieser Option wird GCDS den Domainanteil von allen gelesenen E-Mail-Adressen entfernen.

Jedwede Bearbeitung erfolgt ohne den Domainnamen. Bei der Verwendung von Ausschlussregeln, die auf E-Mail-Adressen beruhen, müssen Sie darauf achten, lediglich den lokalen Teil der E-Mail-Adresse für die jeweilige Ausschlussregel zu verwenden.

Wenn Sie beispielsweise die Option Replace domain names in LDAP email addresses (Domainnamen in LDAP-E-Mail-Adressen ersetzen) deaktiviert haben und eine Ausschlussregel mit genauer Übereinstimmung erstellen, müssen Sie als Nutzer-E-Mail-Adresse maxmustermann@company.com eingeben, um einen Treffer zu erzielen. Wenn diese Option hingegen aktiviert ist, genügt die Eingabe vonmaxmustermann. Eine Übereinstimmung mit maxmustermann@company.com wird dann nicht erkannt, weil @company.com schon vor dem Vergleich entfernt wurde.

Kann ich statische und dynamische Gruppen verschachteln?

Sie können bei der Bereitstellung von Gruppen mit GCDS dynamische Gruppen nicht in statischen Gruppen verschachteln oder umgekehrt. In GCDS müssen statische Gruppen getrennt von dynamischen Gruppen abgefragt werden. Allerdings müssen alle verschachtelten Gruppen Teil derselben Abfrage sein.

Versuchen Sie nach Möglichkeit, dynamische Gruppen als statische Gruppen zu implementieren, etwa indem Sie eine Aufgabe automatisieren, die alle dynamischen Gruppen regelmäßig abfragt, um statische Gruppen im Verzeichnis darzustellen. GCDS kann diese statischen Gruppen, die aus den dynamischen Gruppen erstellt wurden, anstelle der dynamischen Gruppen für die Bereitstellung verwenden.

Kontakte und Kalender

Weshalb werden nach der Synchronisierung mit GCDS einige Kontakte in meinem Domainverzeichnis doppelt angezeigt?

Dieses Problem tritt in der Regel auf, wenn Sie gemeinsame Kontakte synchronisieren und die Suchregeln nicht korrekt erstellt wurden.

Es gibt zwei Typen relevanter Objekte, die mit GCDS synchronisiert werden können:

  • Nutzerprofile: Nutzer in Ihrer Google-Domain, einschließlich zusätzlicher Daten wie z. B. Telefonnummer oder Adresse. Sie können ausschließlich Nutzerprofile für bestehende Nutzer in Ihrer Domain synchronisieren.
  • Gemeinsame Kontakte: Kontaktdaten für externe Ansprechpartner, mit denen die Nutzer in Ihrer Domain kommunizieren müssen.

Ändern Sie die Suchregeln für freigegebene Kontakte, sodass Nutzer in Ihrer eigenen Domain ausgeschlossen werden, um dieses Problem zu beheben. Bei der nächsten Synchronisierung wird GCDS versuchen, die überflüssigen Kontakte zu löschen. Möglicherweise müssen Sie allerdings zuvor den Löschgrenzwert für die freigegebenen Kontakte bei dieser Synchronisierung anpassen.

Warum sehen manche Nutzer in Google Kalender ihren Hauptarbeitsort nicht?

Unter bestimmten Umständen sehen Nutzer in Google Kalender ihren Hauptarbeitsort nicht, wenn sie Besprechungen planen.

Wenn dieses Problem auftritt, überprüfen Sie, ob die Attribute für Standorttyp und Bereich auf "Schreibtisch" festgelegt sind.

Regeln

Eine Suchregel gibt keine Ergebnisse aus. Woran liegt das?

Prüfen Sie den Geltungsbereich der Regel. Möglicherweise müssen Sie den Geltungsbereich auf SUBTREE festlegen.

Weshalb wird die Schaltfläche "OK" nicht angezeigt, wenn ich eine Ausnahmeregel erstelle?

Möglicherweise ist die verwendete Schrift zu groß für den Bildschirm. Das Dialogfeld ist nicht mit großen und sehr großen Schriften kompatibel. Ändern Sie die eingestellte Schriftgröße oder bearbeiten Sie die XML-Datei direkt.

War das hilfreich?
Wie können wir die Seite verbessern?